Seguridad en Redes y VPN

Question 1

¿Que es un cortafuegos (firewall)?

Answer 1

Trabaja en un nivel del protocolo OSI, para filtrar el tráfico que pasa por ese nivel.

• Filtrado de paquetes. Nivel de red, IP’s y puertos
• Circuit level Gateway. Nivel de Sesion. TCP
• Application level Gateway o Proxy. Nivel de aplicación. HTTP
• Statefull inspection
• Next generation

Question 2

¿Qué es ‘Packet filter’?

Answer 2

Firewall a Nivel de red. IP’s y puertos

Tiene tres patitas: Entrada/salida al exterior y hacia el interior.
Contiene una serie de reglas de entrada y salida relativas a IP’s y puertos.

El filtrado de paquetes es el proceso por el cual un cortafuegos permite el paso o el bloqueo de paquetes de datos en una interfaz de red en función de las direcciones de origen y destino, los puertos o los protocolos. El filtro de paquetes examina el encabezado de cada paquete IP en función de un conjunto de reglas y decide si lo impide (descarta) o lo permite (acepta).

iptables en linux

Question 3

¿Qué es ‘Circuit-level Gateway’?

Answer 3

Firewall a Nivel de Sesion. TCP

Un Circuit-level Gateway es un tipo de cortafuegos que valida las sesiones TCP o UDP en la capa 5 del modelo OSI antes de permitir el paso del tráfico.

Question 4

¿Qué es ‘Application Level Gateway’ o Proxy?

Answer 4

Firewall a Nivel de Applicacion. HTTP

Application Level Gateway, también conocida como puerta de enlace a nivel de aplicación (ALG), funciona como un proxy de firewall fundamental para la seguridad de la red. Su capacidad de filtrado garantiza que solo se transmitan determinados datos de aplicaciones de red, lo que tiene un impacto en la seguridad de protocolos como FTP, Telnet, RTSP y BitTorrent.

Entrada: Proxy Inverso –> Reparte el tráfico ‘de puertas para dentro’ en función de la url que nos entra.

Ciente1 http://ruinosa.com/nominas/….
Cliente2 http://ruinosa.com/intranet/….

por ejemplo con Nginx repartimos el tráfico

/nominas –> IP privada1 … java, jbos, weblogic
/intranet –> IP privada2… .net, IIS + asp.net

Salida: Proxy web –> Los usuarios de una empresa salen a internet por aquí

Aplicaciones comerciales:
Squid
Nginx
Varnish
HAProxy
Apache Mod_proxy

Question 5

¿Qué es ‘Stateful Inspection’?

Answer 5

Firewall a Nivel de Applicacion.

Es capaz de hacer una lectura más avanzada de las peticiones que nos llegan. Pe.: si ya te has conectado una primera vez es capaz de identificarlo y tomar la acción pertinente.

iptables con el módulo Conntrack

Question 6

¿Qué son los ‘Next Generation’ firewalls?

Answer 6

Un firewall de nueva generación (NGFW) es un dispositivo de seguridad que procesa el tráfico de red y aplica reglas para bloquear tráfico potencialmente peligroso. Los NGFW evolucionan y amplían las capacidades de los firewalls tradicionales Realizan las mismas funciones que los firewalls, pero de forma más potente y con funciones adicionales.

Firewalls más especializados

IPS –>
WAF –> Web Application Firewall
UTM –> Unified Threat Management. Centraliza la solucion/es para distintos tipos de amenazas

Question 7

¿Qué es OWASP?

Answer 7

Fundación OWASP: publica top 10 de los ataques más importantes del momento

Question 8

¿Qué es un IDS?

Answer 8

Intrusion Detection System. Monitorizan redes o sistemas para detectar e informar actividades o accesos no autorizados.

Son PASIVOS –> detectan + generan alertas . Al contrario que IPS

Question 9

¿Qué es un IPS?

Answer 9

Intrusion Prevention System: Monitorizan redes o sistemas para detectar en intentan impedir actividades o accesos no autorizados.

Son ACTIVOS –> detectan + bloquean la intrusión. Al contrario que IDS

Question 10

Tipos de IDS

Answer 10

• NIDS: Network IDS. Detectores de intrusiones en red
• HIDS: Host IDS. Detectores de intrusiones en host

Question 11

Tipos de IPS

Answer 11

• NIPS: Network IPS. Monitorea redes
• WIPS: Wireless IPS. Monitorera wireless netwok
• NBA: Network behavio analysis. Monitorea comportamiento.
• HIPS: Host IPS. Monitorea host

Question 12

¿Qué es SIEM?

Answer 12

Security Information and Event Management. Gestión de eventos y seguridad.

Recopila información de multiples origenes y aplica técnicas de inteligencia (humana) para su explotación

Se necesita filtrar la información de todas esas fuentes y establecer una CORRELACIÓN que nos de un sentido a esa iformación. A partir de ahí, por ejemplo, podemos crear alertas de seguridad.

Comerciales:
QRadar
ELK
OSSIM
Gloria(CCN) –> Gestor de logs. Basado en un SIEM pero no lo es….
Monica(CCN)

NOTA: NGSIEM -> Next Generation SIEM. Ojo con los cabroncetes!!!

Question 13

¿Qué es un Honeyport?

Answer 13

Sistema separado de la red real configurado con vulnerabilidades ‘evidentes’ con el objetivo de atraer y estudiar a los diferentes atacantes.

Question 14

¿Qué es DMZ?

Answer 14

Demilitarize Zone. Sreened Subnet. Red interior ‘desconectada’. Es una rede intermedia donde se pueden tener servicios alojados pero que separa la red interna de internet.

NOTA: Servicios tipicos alojados en la DMZ

• MTA (correo electrónico)
• Servidor DNS
• Servidor Web
• Servidor de VPN
• Proxy Inverso

Question 15

¿Ques es un MAC?

Answer 15

Message Authentication Code

Tipos de MAC:

• PMAC
• UMAC-VMAC
• Poly1305 (ChaCha20)
• HMAC (Basada en hash)

Question 16

¿Ques es un HMAC?

Answer 16

Es un tipo de MAC, que está basado en hash. Funciona de la siguiente manera

E —-> ducumento + codigo MAC —> R

1. Hash(Documento/mensaje) –> residuo
2. Cifrar(Residuo con clave K) –> firma

NOTA: Tanto emisor como receptor tienen que tener la misma clave. La habrán intercambiado de manera segura

Question 17

¿Qué es una VPN?

Answer 17

Virtual Private Net (Red Privada Virtual)

• Técnica para extender una LAN a través de una red pública
• Reducción de costes (no hay que contratar líneas dedicadas)
• Nos debe ofrecer mecanismo de autenticación, integridad y confidencialidad

Question 18

Escenarios en VPN

Answer 18

• De acceso remoto (integración del equipo de un
  empleado en el organismo)
• De sitio a sitio (integración de sedes de un
  organismo)
• De equipo a equipo

Question 19

Lista de protocolos VPN según los niveles de red

Answer 19

1. Nivel de aplicación:
   
   • SSH
2. Nivel de transporte
   
   • SSL/TLS (Ej. OpenVPN)
3. Nivel de red
   
   • IPSec (AH, ESP e IKE). Con seguridad
4. Nivel de enlace
   
   • PPTP - Point to Point Tunneling Protocol (utiliza GRE para crear el túnel). Sin seguridad
   • MPPE - Microsoft Point to Point Encryption. Mejora sobre PPTP con encriptación
   • L2TP (se puede combinar con IPSec para el cifrado). Sin seguridad
   • L2F (no cifrado). Sin seguridad
   • MACsec. Con seguridad

NOTA: Los protocolos a nivel de enlace que no proporcionan seguridad suelen ir con IPSec en la capa superior para garantizar la seuguridad. Lo típico L2TP haciendo uso de IPSec

Question 20

Sistemas de autenticacion en una VPN

Answer 20

1. Sistemas de autenticación típicos de PPP:
   
   • PAP (usuario + password sin más). Malo muy malo
   • CHAP (reto entre cliente y servidor)
   • EAP (Extensible -> TLS, PEAP, …). Más moderno.
2. Implementaciones de sistemas AAA:
   (Authentication, Authorization, Accounting)
   
   • RADIUS
   • TACACS
   • DIAMETER

Question 21

Familia IPSec

Answer 21

1. AH. Authentication Header
2. ESP. Encapsulating Security Payload
3. IKE. Internet Key Exchange (SA, )

NOTA: En IPSEc tanto en AH como ESP usamos IKE.

Question 22

Funcionamiento de IKE

Answer 22

IKE (intercambio de opciones criptográficas entre pares) . Establece los Security Association (SA) en cada dirección de la comunicación.

Emplea un intercambio secreto de claves de tipo Diffie-Hellman para establecer el secreto compartido de la sesión y para la autenticación funciona tanto con certificados x509 como una pre-shared key.

SA –> Solo en una dirección. Cada extremo tiene que tener su propia SA.

Question 23

Funcionamiento de AH

Answer 23

En IPSEc tanto en AH como ESP usamos IKE.

• Security Parameter Index: Identifica el indice de la tabla donde se encuentra la SA (Security Asociation)
• Secuence Number
• ICV - Integrity Check Value -> HMAC

No aseguramos confidencialidad, solo integridad

Question 24

Funcionamiento de ESP

Answer 24

En IPSEc tanto en AH como ESP usamos IKE.

• Security Parameter Index: Identifica el indice de la tabla donde se encuentra la SA (Security Asociation)
• Secuence Number
• PayLoad DATA -> 3DES/AES
• Authentication DATA –> HMAC

Aseguramos confidencialidad, autenticidad e integridad

SIEMPRE CIFRADO

Question 25

Modos transporte y tunel del AH y ESP

Answer 25

Question 26

Entre los protocolos que puede usar una VPN para proporcionar cifrado NO se encuentra: a) PPTP/MPPE b) IPSec c) L2TP/IPSec d) KSEC1.1

Answer 26

d) KSEC1.1

Question 27

Desde su equipo en la subred de PCs de Usuarios del Modelo B y como administrador de los equipos del resto de subredes, necesita conectarse mediante SSH y SCP. ¿Qué puerto o puertos estándares deberían tener abiertos en el firewall para realizar esta labor? a) Puerto 21 para SSH y 22 para SCP. b) Puerto 22 para SSH y 21 para SCP. c) Puerto 21 tanto para SSH como SCP. d) Puerto 22 tanto para SSH como SCP.

Answer 27

d) Puerto 22 tanto para SSH como SCP.

Question 28

En relación con las VPN de nivel de enlace, ¿cuál de los siguientes protocolos NO se utiliza para la implementacion de dicha VPN? a) PPTP (Point-to-Point Tunneling Protocol). b) L2F (Layer Two Forwarding). c) L2TP (Layer Two Tunneling Protocol). d) P2TP (Point two Tunneling Protocol).

Answer 28

d) P2TP (Point two Tunneling Protocol).

Question 29

En el clúster de Firewalls del modelo B se quiere implementar un módulo de seguridad para filtrar y monitorear el tráfico HTTP desde Internet a nuestros servidores WEB. ¿Cuál de los siguientes módulos debe implementarse para cumplir esta función? a) WAT - Web Administration Tool b) WAF - Web Application Firewall c) VEN - Virtual Firewall Network d) WFL7 - Web Firewall Layer 7

Answer 29

b) WAF - Web Application Firewall

Question 30

En relacion con las VPN del nivel de enlace, ¿Cual de los siguientes protocolos NO se utiliza para la implementacion de dicha VPN? a) PPTP (Point to Point Tunneling Protocol) b) L2F (Layer two Forwarding) c) L2TP (Layer two Tunneling Protocol) d) P2TP (Point two Tunneling Protocol)

Answer 30

d) P2TP (Point two Tunneling Protocol)

Question 31

Muchas de las comunicaciones se van a realizar mediante conexiones ssh y tiene que solicitar las reglas de firewall al equipo de comunicaciones. ¿Cuál es el puerto que debe solicitar? a) 21 b) 63 c) 69 d) 22

Answer 31

d) 22

Question 32

De entre las siguientes afirmaciones relacionadas con el uso de cortafuegos, seleccione la afirmación correcta a) Los cortafuegos de tipo stateless guardan información de las sesiones a las que pertenecen los paquetes. b) Un cortafuegos DPI permite una inspección profunda del contenido completo del paquete. c) Los cortafuegos de tipo stateful no guardan información de las sesiones a las que pertenecen los paquetes. d) Los cortafuegos de próxima generación no incorporan funciones de NAT ni VPN para aligerar su carga.

Answer 32

b) Un cortafuegos DPI permite una inspección profunda del contenido completo del paquete. MUS

Question 33

¿Cuál de las sigulentes opciones es cierta con respecto a los protocolos IPSec, PPTP y OpenVPN? a) IPSec utiiza dos protocolos de seguridad (AH y ESK) y un protocolo de gestión de claves (IKE). b) El protocolo OpenVPN no es compatible con IPSec, IKE, PPTP y L2TP. c) El protocolo PPTP es el que ofrece un nivel de encriptación más fuerte, pero precisa de un esfuerzo elevado para su configuracion. d) Los tres protocolos protegen las comunicaciones a nivel 2 de la pila OSI.

Answer 33

b) El protocolo OpenVPN no es compatible con IPSec, IKE, PPTP y L2TP.

Question 34

¿Cuál de las siguientes afirmaciones es correcta? a) L2TP serefiere a Layer 2 Tunneling Protocol. b) IKEv? se refiere a Internet Key Extended Protocol Version 2. c) ESP serefiere a a Enhanced Securily Payload. d) SSTP se refiere a Secure System Transport Protocol.

Answer 34

a) L2TP serefiere a Layer 2 Tunneling Protocol.

Question 35

Utilidad de un PROXY INVERSO (reverse proxy)

Answer 35

Función: Gateway de servicios Repartir el tráfico entrante de los distintos servicios (http y/o tcp) hacia host internos. Productos: Nginx, Squid, Varnish, Apache+mod_proxy, HA-Proxy

Question 36

Diferencia entre IDS y un IPS

Answer 36

IDS --> Detecta e informa (pasivo) IPS --> Detecta y bloquea (activo)

Question 37

Tipos de VPN

Answer 37

a) Acceso Remoto (entre PC Empleado y terminador VPN) b) Sitio a Sitio (Entre routers/terminadores VPN) c) Equipo a Equipo ()

Question 38

Entre dos redes corporativas que queremos integrar, ¿Que tipo de VPN sería lo más correcto y entre quienes?

Answer 38

De sitio a sitio (entre reuters/terminadores de VPN)

Question 39

¿Qué productos conoce de tipo SIEM de la administración pública?

Answer 39

Gloria (OJO: La definición literal de Gloria es "Gestor de Logs") Monica (NOTA: es un NGSIEM de nueva generación)

Question 40

Nombre protocolos de VPN que operan a nivel de enlace

Answer 40

a) PPTP, L2TP, L2F (Inseguros) b) Recomendado en la CCN-836 --> MACSec

Question 41

Modo de funcionamiento AH

Answer 41

a) Modo transporte (unicamente se añade la cabecera AH) b) Modo tunel (se añade cabecera IP "nueva" porque "envolvemos"). NOTA: Es algo así como tener una doble pila IP

Question 42

¿En qué consiste el esquema de autenticación CHAP y que producto lo gestiona?

Answer 42

a) Técnica del desafío mutuo (reto = cadena) b) Ej.: RADIUS

Question 43

¿Cuál es el proposito del protocolo IKE?

Answer 43

Intercambiar de claves entre los participantes y establecer las SA NOTA: Fase previa a usar ESP o AH (se basa en algoritmo DH)

Question 44

En IPSec-AH, ¿Con qué algoritmo se genera el "código de integridad" o ICV?

Answer 44

HMAC